0
0
A Check Point Research (CPR), uma fornecedora líder de soluções de cibersegurança global, identificou vulnerabilidades nos decodificadores de áudio utilizados pela Qualcomm e MediaTek, duas das maiores empresas fabricantes de chips. Mais de dois terços dos smartphones Android do mundo estiveram vulneráveis por conta das falhas de segurança.
Segundo investigação da CPR, as vulnerabilidades tinham por base o código compartilhado pela Apple há 11 anos. Mais especificamente, estamos falando do Apple Lossless Audio Codec (ALAC).
Se não fossem corrigidas, as falhas permitiriam a um atacante acessar remotamente arquivos multimídia e conversas via áudio, como explica Slava Makkaveev, pesquisador e especialista em Engenharia Reversa e Pesquisa de Segurança na CPR:
Descobrimos um conjunto de vulnerabilidades que poderiam ser utilizadas para execução remota e concessão de privilégios em dois terços dos dispositivos móveis de todo o mundo. E as vulnerabilidades eram de fácil exploração. Um cibercriminoso poderia enviar uma música (qualquer arquivo multimídia) e, assim que o conteúdo fosse reproduzido pela potencial vítima, poderia injetar código malicioso no serviço de reprodução. O cibercriminoso poderia ver o que o usuário visualizava.
O ALAC é um formato de codificação de áudio desenvolvido pela Apple e apresentado pela primeira vez em 2004 para compressão de informação de áudio digital sem perdas.
Em 2011, o software foi colocado em código aberto e passou a ser incorporado em muitos dispositivos e programas de reprodução de áudio fora do escopo de produtos da Apple, incluindo smartphones Android, leitores e conversores de mídia Windows e Linux.
Desde então, a Apple tem atualizado várias vezes a versão proprietária do decodificador, corrigindo as falhas de segurança existentes. Contudo, o código compartilhado não é corrigido desde 2011.Imagem: Reprodução
A Check Point Research descobriu que a Qualcomm e a MediaTek utilizavam em seus decodificadores de áudio o código ALAC vulnerável, e compartilhou a situação com as empresas.
As falhas CVE-2021-0674 e CVE-2021-0675 foram corrigidas pela MediaTek, enquanto a Qualcomm resolveu a CVE-2021-30351. Ambas as soluções foram disponibilizadas em dezembro do ano passado.
Para proteção dos usuários, os pesquisadores da CPR recomendam a atualização regular de sistemas operacionais, uma vez que todos os meses o Google lança atualizações de segurança no Android.
FONTE: TUDO CELULAR